资讯
5月16日消息,微软Windows 10及11系统中的“即时帮助”工具遭遇黑客非法利用。据悉,黑客在掌握了一批目标用户的信息后,通过大规模垃圾邮件攻势精准锁定这些用户,并进一步采取电话诈骗策略,伪装成专业安全团队成员,诱导受害者。
在建立信任后,引导用户激活系统内的远程协助功能,为黑客敞开直达受害者电脑的大门,实现了对用户设备的深度渗透与控制。此事件再次敲响了个人数据保护与网络安全的警钟。
安全公司表示,相关黑客可能是勒索软件黑客组织 Black Basta 的成员,从 4 月中旬起,这些黑客通过网络钓鱼引诱受害者上当,之后要求受害者按下快捷键 CTRL+Win+Q 启动快速助手并输入安全验证码,由于相关功能集成在 Windows 中,因此也能够维持受害者的信任。
在成功使用“快速助手”应用控制受害者电脑后,黑客将会通过 cURL 命令下载一系列批处理文件或 ZIP 压缩文件,在用户设备上部署 ScreenConnect、NetSupport Manager 等远程管理工具、恶意程序 QBot、渗透测试工具 Cobalt Strike 以及各种勒索软件;在部分攻击行动中,黑客还使用 OpenSSH 建立 SSH 隧道,以便在受害者网络环境中持续行动。
微软在 Windows 10 中引入了“快速助手”应用,主要用于技术人员通过互联网远程协助用户排除问题,不过微软最早在 Windows XP 操作系统中就提供类似的功能,当时称为“Windows 远程协助(Windows Remote Assistance)”,但直到现在才有黑客陆续滥用相关功能进行攻击。
文明上网,理性发言,共同做网络文明传播者